GER:泄露数十万用户信息,硬件钱包Ledger遭遇信任危机

用你的钱包投票。

Ledger已经失去了用户的信任。

7月份泄露的客户信息,早已提供给那些愿意付出代价的人,而现在,这些信息是免费的。

昨晚,有人在raidforums上发布了Ledger的272853名客户及1075382名电子邮件用户的名单及信息,这让一些论坛用户感到沮丧。

2020年7月,一名研究人员在参与Ledger漏洞悬赏计划时,发现了一个潜在的攻击向量,后来,人们发现这一攻击向量已被利用。随后,Ledger宣布称其网站遭到了攻击:

在线密码管理平台LastPass遭集体诉讼,被指控因数据泄露致超5万美元的比特币被盗:1月5日消息,一位被称为John Doe的未透露姓名的原告代表其他类似情况的原告在美国马萨诸塞州地方法院向在线密码管理平台LastPass提起集体诉讼,指控LastPass的数据泄露导致价值约5.3万美元的比特币被盗,原告声称他于2022年7月开始累积BTC,并根据LastPass最佳实践的建议使用密码生成器将主密码更新为12个字符以上,然而在2022年感恩节周末或前后,原告的比特币使用他存储在被告LastPass的私钥被盗。

此前消息,去年12月LastPass披露称,未经授权的一方获得了对第三方云存储服务的访问权限,LastPass使用该服务存储其生产数据的存档备份。[2023/1/5 10:23:08]

“未经授权的第三方通过API密钥访问了我们的电子商务和市场数据库的一部分。”

安全团队:paraswap部署者私钥疑似泄露,资金在多个链上被盗:10月11日消息,据Supremacy安全团队监测,2022年10月11日,paraswap部署者地址在多个链(ETH、BSC、FTM)上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。经过分析,该地址为Profanity漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有paraswap部署者地址自身资产遭到窃取,暂不影响paraswap多签金库(签名阈值为2),但不排除其他多签地址也由Profanity生成,所以多签金库也可能存在风险。目前Supremacy团队已联系paraswap官方传达信息,在此再次呼吁大家即时将及时更换由Profanity生成的地址,针对Profanity地址的攻击仍在持续进行。[2022/10/11 10:30:53]

根据报道称,泄露的数据信息以近六位数的价格被出售了,这证明了这些个人信息的价值,而无论是谁在支付这些信息,他们都是为了从中获利。

电子邮件自动化工具Klaviyo遭入侵,44家加密相关公司受到数据泄露影响:8月11日消息,电子邮件营销自动化工具Klaviyo表示因其一位员工遭到钓鱼攻击,导致其内部系统遭到入侵,在得知这一事件后,Klaviyo撤销了受影响用户的访问权限,并从系统中移除攻击者。比特币储蓄公司Swan Bitcoin表示,其也受到了此事件的影响。

Klaviyo称,目前还在调查中,已知的是,攻击者使用内部客户支持工具主要搜索与加密货币相关的账户,并查看了44个Klaviyo账户(44家加密相关公司)的列表和细分信息。攻击者还查看并下载了Klaviyo用于产品和营销更新的两个内部列表。这些导出包括姓名、地址、电子邮件地址和电话号码等信息,不过未包括任何密码、密码哈希或信用卡号码。[2022/8/11 12:19:18]

由于这些信息现在可自由访问,有用户报告称,网络钓鱼的尝试增加了。而在接下来的几个月里,我们预计这种行为将继续增长,因此,如果听说有人因为这种数据泄露而遭到物理攻击,也就不足为奇了。

DeFi借贷平台Eco DeFi疑因私钥泄露损失约78万美元:据派盾消息,DeFi借贷平台Eco DeFi疑私钥泄露,耗尽借贷池资金,约1418 BNB,以550美元计价,损失约78万美元。[2021/12/29 8:10:29]

最坏的情况下,泄露的个人信息可能会导致物理攻击或入室盗窃。

最初,Ledger告诉我们,已被公开数据的用户数有9500名,其中包括他们的姓名、邮政地址以及电话号码。现在,我们发现这个数字实际接近了227,000。

Ledger是否故意掩盖了事件的严重性?

我们采访了Ledger的代表,其提供了以下声明:

我们仍在调查这一持续存在的问题,泄露的内容可能是Ledger的电子商务数据库,该数据库在2020年6月份时遭到泄露。者可能使用此数据库通过电子邮件和短信活动来进行网络钓鱼攻击。

我们的客户支持团队一直在努力通过Twitter通知用户,并回答问题,同时还报告包含数据库链接的所有推文和Reddit帖子。我们敦促所有用户不要分享他们的助记词,并且要记住,团队不会要求用户提供私人信息。

自2020年6月发现数据泄露事件以来,我们与外部安全组织合作进行了取证审查。这次审查确认,只有9500名个人受到影响,Ledger支持人员亲自联系了所有受影响的用户。自网络钓鱼攻击开始发生以来,我们预计会有更多信息泄漏,并继续通过Twitter和电子邮件通知所有用户。

我们正在竭尽全力阻止这些攻击并避免将来发生这种情况。Ledger采取了一系列措施来保护我们的用户,使其免受沦为网络钓鱼攻击的受害者。我们已经建立了一个网页,共享网络钓鱼攻击的解剖结构,以便用户避免掉入网络钓鱼并报告任何新的攻击:https://www.ledger.com/phishing-campaigns-status

对于这种情况,我们深表遗憾,我们的团队正在努力制止者,并恢复社区对我们的信任。我们从一开始就对这一问题持开放和透明的态度,并将在信息发布后继续响应任何新的发展。我们正在继续分析这些数据,并将继续提供更新。

第三方存储用户信息的问题

这种情况显示了依赖第三方来存储我们的信息的问题。

随着Web3.0的发展,Web2.0的问题变得越来越明显。线下公司的强制遵守减慢了我们的进度,并使我们的信息处于危险之中。

尽管存在已知的集中存储风险,我们仍被迫将我们的数据委托给这些公司。像Ledger这样的公司仍在旧世界与新世界之间挣扎,其无法或者不愿意实施零知识证明这样的技术来保护他们的数据库。

不仅仅是犯罪世界热衷于查看这些信息,在欧洲,已经有一些案例表明,一些官员购买了瑞士银行客户的数据,以帮助他们进行税务欺诈调查。

GDPR的严格框架被这一数据泄露所抹杀。要求删除数据的客户似乎被忽视了,甚至被了。

有一位Ledger客户这样告诉我们:

在2020年5月份,我给他们发了一封电子邮件,要求他们从多个订单中删除关于我的任何数据。我在邮件中引用了GDPR,他们回答说:“谢谢你联系我们,我们会尽快完成的。”

随着这次信息泄露,我进行了交叉检查,发现自己的大量数据都被泄露了

Ledger应确保在设定的时间后自动删除个人数据。

是Ledger不称职,忽视了这些要求,还是其不够诚实?

这些现在都已经不重要了,发生的一切都无法改变。

数据泄露没有治愈方法,唯一的解决办法就是预防。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:658ms